ElectroYou - la comunità dei professionisti del mondo elettrico

[Andrea454545]

Buon giorno

Sto realizzando un server sfruttando Apache su una macchina in cui gira un S.O. Linux XUbuntu.
La macchina dovrebbe connettersi ad una rete Internet mediante un rooter.
Dovrà anche connettersi ad una sottorete lan locale (non connessa ad Internet, ma solo interna-locale). Questa ora per prova la vorrei ottenere da un vecchio modem con porte ethernet.

Chiederei consiglio su come rendere "sicuro" il server Apache verso connessioni esterne (su Internet) mantenendo il più isolata possibile l'altra rete cui si interfaccia (la locale). Il sever Apache fa una sorta di tunnel tra le due.

Magari come o quale Firewall reperire (Linux) con possibii log e monitor automatici che filtrino rischi, o quant'altro vi possa venire in mente e che mi permetterebbe di sperimentare ed imparare tecniche di sicurezza in rete.

p.s. non sono un sistemista, quindi sul settore sono veramente un principiante, ma da qualche parte bisogna pure imparare!

[fairyvilje]

Il concetto di sicurezza è una cosa molto relativa al contesto. E costosa. In generale visto il tuo probabile tipo di applicazione mi sento di darti questi consigli:

Separa fisicamente la rete interna da quella esterna. Vuol dire usa due router. Uno lo connetti alla fibra/ADSL, l'altro lo usi per il setup della intranet. Preparati ad usare la virtualizzazione sul computer che hai dedicato a server. Idealmente sarebbe meglio usare due computer separati ma per la tua applicazione è ok. Assicurati che il tuo processore non sia uno di quelli dove hanno riscontrato recenti bug come meltdown e nel caso che siano disponibili delle patch mitigatorie per il kernel applicale. Ed assicurati di avere due interfacce di rete fisiche ovviamente. Nel sistema che hosta le macchine virtuali configura un'interfaccia di rete virtuale e linkaci entrambe le macchine. Sarà il canale per eseguire comunicazioni fra le due macchine virtuali che dovrei istanziare. La prima vm la usi come interfaccia e costringi tutte le richieste di servizi e risorse locali a passare da lei. La seconda ospita il server pubblico.

Potrebbe sembrare un po' overkill ma l'idea è che i servizi esterni non devono essere sicuri. O meglio la sicurezza del sistema non deve dipendere dalla sicurezza del tuo server apache che potrebbe essere totalmente compromesso. L'importante è che la tua interfaccia con la rete locale sia molto restrittiva, in modo da limitare la capacità di penetrazione di un attacco.

[Andrea454545]

Grazie.
Il fatto di sfruttare però la vritualizzazione come riesce tecnicamente ad isolare meglio la rete lan da quella pubblica?

Cosa mi diresti eventualmente per impostare firewall?

[fairyvilje]

Il firewall lo davo per scontato. Configuralo sempre in modo da esporre il minor numero di porte aperte e solo per quei servizi davvero necessari. Il tuo router avrà sicuramente dei filti che mitigano attacchi DoS di vario tipo, ma a parte quelli più naive non c'è molto da fare; potresti valutare servizi come cloudflare se vedi che potrebbe diventare un problema.

Idealmente se esegui su uno stesso computer connesso alla rete pubblica e quella privata il tuo server, è possibile che a causa di qualche vulnerabilità si possa eseguire codice arbitrario sulla tua macchina. Se questo accadesse diventerebbe possibile accedere alle risorse locali visto che il sistema operativo non offre nessuna ulteriore protezione. Virtualizzando i sistemi è come se fossero macchine separate (circa. Non è così semplice). Se apache fosse bucato ed un hacker potesse eseguire del codice arbitrario sarebbe comunque confinato alla macchina virtuale che lo contiene. Non avrebbe nessun accesso fisico alla LAN locale, e tutte le richieste transiterebbero comunque dall'interfaccia sull'altra macchina virtuale. Questo dovrebbe darti il tempo di agire prima che trovi un modo di bucare anche quella :).

Potresti anche voler accedere alle risorse locali da remoto in modo sicuro, al di là del tuo server pubblico. Potrebbe essere comodo installare una VPN sulla tua rete pubblica, e concedere accesso tramite SSH ad un nodo di quella privata. Anche in questo caso è meglio prevedere questo passaggio intermedio per migliorare la sicurezza.

[Andrea454545]

Seguendo il tuo primo suggerimento, ti chiederei come viene fuori l'"architettura" del sistema.
Se ho ben immaginato, rispetto a quanto hai scritto:

un computer fungerebbe da host di macchine virtuali e accede ad internet (tramite I rooter). Dentro ci sono due macchine virtuali

La prima macchina virtuale accede ad internet (tramite l'host di virtual-machine) e ci gira sopra il server Apache. Il server dovrebbe però accedere alle risorse anche della sottorete per elaborare le informazioni da restituire agli utenti remoti (via internet).
Le richieste del server sulla II sottorete, tornano all' host VM (I macchina) che le indirizza sulla II VM.

La seconda accede alla seconda sottorete (solo locale). Questa dovrebbe fare solo da tunnel (ovvero reindirizzare tutte le richieste dell' host di VM, verso le evenuali risorse di rete-lan).

E' corretto?
Se si, mi potresti dare riferimenti per impostare le 2 VM e l'host VM?

Conosci una buona VM per XUbuntu (per caso eistono versioni VM player per Linux o Oracle)?

[fairyvilje]

Si grossomodo l'architettura è questa.
Su linux si usano principalmente due sistemi, xen e kvm.
Ognuno ha i suoi vantaggi e svantaggi, ma per questa applicazione penso che kvm sia più semplice da mettere in piedi. Virtmanager funge da interfaccia utente per la gestione dei sistemi virtualizzati.
Sinceramente non ho il tempo di seguirti nella configurazione. Inizia a lavorarci, se hai domande specifiche apri un post e qualcuno saprà risponderti :).

[Andrea454545]

Ok grazie.

[Andrea454545]

Scusa ultima cosa al volo KVM è concettaulemtne simile a VMWare?

[fairyvilje]

Dipende da che tecnologia VMWare prendi come riferimento. Ci sono sia hypervisors di tipo 1 che di tipo 2 sotto quel nome.
https://en.wikipedia.org/wiki/Hypervisor

[angus]

Sarebbe interessante capire che tipo di servizio vuoi offrire/esporre o meglio: il problema stai cercando di risolvere.

Il sever Apache fa una sorta di tunnel tra le due.

Cosa intendi esattamente?